基于会话的状态监测防火墙对于报文的处理流程，下面描述正确的是（）

A.报文到达防火墙，先检查会话表项，如果没有匹配会按照首包流程处理

B.报文到达防火墙，会查找安全策略，如果匹配且安全策略允许该报文通过则转发报文

C.报文到达防火墙，会查找安全策略，如果没有匹配则丢弃报文

D.报文到达防火墙，先检查会话表项，如果没有匹配会直接丢弃

A.“状态检测机制”以流量为单位来对报文进行检测和转发

B.Eudemon防火墙缺省开启了状态检测机制

C.开启状态检测机制后的包过滤机制可以总结为“对首包按照包过滤规则进行检查，如果检查通过，则建立会话表项，后继报文直接根据会话表进行转发”

D.一个报文在没有相应的会话表项的情况下，只要通过包括包过滤在内的各种安全机制的检查，就可以生成会话表项，为不管其是否为首包

A.如果防火墙安全策略允许报文通过， 则报文可以通过防火墙

B.如果防火墙安全策略允许报文通过， 则创建会话表

C.缺省状态下， 关闭状态功能后， 并配置了允许策略即可通过

D.报文一定通过防火墙， 并建立会花边

A.防火墙支持指定源接口的扩展Ping命令，能够检测报文穿过防火墙的效率

B.Debug命令能够跟踪防火墙对建立会话报文的具体处理步骤

C.Snoop命令可以按一定比例进行网络报文采样

D.Log日志能够记录匹配某Policy的数据流传输报文的大小及会话持续时间。

A.状态监测防火墙需要对每个进入防火墙的数据包进行规则匹配

B.因为 UDP 协议为面向无连接的协议.因此状态监测防火墙无法对 UDP 报文进行状态表的匹配

C.状态检测型防火墙对报文进行检查时. 同一连接的前后报文不具有相关性

D.状态检测型防火墙只需要对该链接的第一个数据包进行访问规则的匹配. 该链接的后续报文直接在状态表中进行匹配

A．错误

B．正确

A、基于会话防范，针对有连接状态的报文检查是否命中会话，可有效防御FIN/RSTFlood、TCP连接耗尽攻击、TCP异常会话攻击等。

B、畸形报文过滤，过滤利用协议栈漏洞的畸形报文攻击、特殊控制报文

C、基于文件特征值

D、特征过滤，通过抓包分析来获取流量特征，基于报文的内容特征进行静态匹配过滤，主要针对没有连接状态的攻击进行防御，包括黑白名单过滤。

A.会话表中记录的信息很多，一般是根据五元素来判断一个报文是否和一个会话表项匹配

B.来回路径不一致的组网通常是在网络中存在多个通信通道的情况下出现的，此时防火墙收不到首包的问题就无法解决

C.防火墙转发FTP.RTSP等多通道协议的数据会生成server-map表项

D.server-map表是为了解决使用nat或aspf功能的情况下，可能存在外网用户通过用户随机端口主动访问内网服务器的情况

A.当一条会话在长时间没有被任何报文匹配，则该条会话=所在对应的连接可能已经关闭，会话也会被老化掉

B.用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文，此时就需要开启长连接功能

C.在长连接功能中，可以通过acl来指定流量，为这些特殊流量设定超长的老化时间

D.目前Eudemon防火墙支持对tcp和udp协议配置长连接

A.状态检测防火墙需要对每个进入防火墙的数据包进行规则匹配

B.因为UDP协议为面向无连接的协议，协议为面向无连接的协议，因此状态检测型防火墙无法对UDP报文进行状态表的匹配

C.状态检测型防火墙对报文进行检查时，同一连接的前后报文不具有相关性

D.状态检测型防火墙只需要对该连接的第一个数据包进行访问规则的匹配，该连接的后续报文直接在状态表中进行匹配